El nuevo ransomware para Mac es aún más aterrador de lo que parece


  Las letras Scrabble en una computadora portátil significan ransomware.

La amenaza del ransomware parece ser generalizada, pero no ha habido demasiadas cepas adaptadas para infectar las computadoras Mac de Apple desde que apareció el primer ransomware Mac completo cuatro veces antes. Cuando Dinesh Devadoss, un investigador de malware en K7 Lab publicó los resultados el martes en un nuevo ejemplo de ransomware Mac, ese hecho solo fue importante. Sin embargo, resulta que el malware que los investigadores ahora llaman ThiefQuest se está volviendo más interesante a partir de ahí. (Los investigadores originalmente lo llamaron EvilQuest hasta que descubrieron la serie de juegos de Steam del mismo nombre.)

Además del ransomware, ThiefQuest tiene una serie de otras funciones de spyware que filtran archivos de una computadora infectada y buscan contraseñas en el sistema Datos de billetera de criptomonedas y ejecute un keylogger robusto para recuperar contraseñas, números de tarjetas de crédito u otra información financiera a medida que un usuario ingresa. El componente de spyware también se esconde permanentemente como una puerta trasera en los dispositivos infectados, lo que significa que persiste incluso después. Una computadora se reinicia y se puede utilizar como plataforma de lanzamiento para ataques adicionales o de "segunda etapa". Dado que el ransomware es tan raro en Macs inicialmente, este doble ataque es particularmente notable.

"Cuando miras el código y separas la lógica del ransomware de todas las demás lógicas de puerta trasera, las dos partes tienen perfecto sentido como malware individualmente. Pero cuando las juntas, ¿eres como qué?", ​​Dijo Patrick Wardle, investigador principal de seguridad de la empresa de gestión de Mac Jamf. "Mi intuición actual con todo esto es que alguien básicamente desarrolló un malware para Mac que les permite controlar completamente un sistema infectado de forma remota. También agregaron algunas características de ransomware para ganar dinero extra".

Aunque ThiefQuest viene con características amenazadoras, es poco probable que su Mac se infecte pronto a menos que descargue software pirateado y sin control. Thomas Reed, director de Mac y plataformas móviles en la firma de seguridad Malwarebytes, señaló que ThiefQuest se estaba distribuyendo en sitios de torrents incluidos con software de marca como la aplicación de seguridad Little Snitch, el software Mixed In Key DJ y la plataforma de producción musical Ableton . Devadoss de K7 señala que el malware en sí mismo parece un "Programa de actualización de software de Google". Hasta ahora, sin embargo, los investigadores han dicho que aparentemente no hay un número significativo de descargas y que nadie ha pagado un rescate por la dirección de bitcoin proporcionada por los atacantes.

Para que tu Mac se infecte, tendrías que descargar un instalador comprometido y luego descartar una serie de advertencias de Apple para ejecutarlo. Es un buen recordatorio de que obtiene su software de fuentes confiables, como: B. de desarrolladores cuyo código fue "firmado" por Apple para demostrar su legitimidad, o de Apple App Store. Pero si eres alguien que ya tiene programas torrentados y está acostumbrado a ignorar las banderas de Apple, ThiefQuest muestra los riesgos de este enfoque.

Apple se negó a comentar sobre la historia.

¿Qué quiere?

ThiefQuest tiene un amplio conjunto de características para fusionar ransomware con spyware. No está claro para qué es esto, especialmente porque el componente de ransomware parece estar incompleto. El malware muestra una nota de rescate que solicita el pago, pero solo enumera una dirección estática de Bitcoin a la que las víctimas pueden enviar dinero. Dadas las capacidades de anonimato de Bitcoin, los atacantes que querían descifrar los sistemas de una víctima después de recibir el pago no tendrían forma de saber quién pagó y quién no. Además, el aviso no incluye una dirección de correo electrónico a través de la cual las víctimas puedan comunicarse con los atacantes sobre la recepción de una clave de descifrado, otra señal de que el malware puede no estar pensado como ransomware. Jamfs Wardle también descubrió en su análisis que, si bien el malware contiene todos los componentes necesarios para descifrar los archivos, no parece estar configurado para funcionar realmente en la naturaleza.

Los investigadores también enfatizan que los atacantes están buscando. Para espiar en secreto el spyware, por lo general quieres ser lo más discreto y discreto posible. Agregar ransomware a la mezcla simplemente anuncia la presencia del malware y probablemente cambiaría el comportamiento de un usuario en el dispositivo, ya que todos los archivos están encriptados y se muestra una nota de rescate dramática en la pantalla. No es una situación en la que es probable que ocasionalmente compre en línea o inicie sesión en su cuenta bancaria. Por la misma razón, el ransomware normalmente no tiene que persistir en un dispositivo y no necesita reiniciarse, ya que solo el proceso de cifrado debe iniciarse. Si un programa inicia sesión como malware y luego persiste, es más probable que la comunidad de seguridad marque y analice el software para bloquearlo en el futuro.

"Creo que si tu objetivo principal fuera la exfiltración de datos, lo harías". Quiero permanecer en segundo plano, hacerlo lo más silenciosamente posible y tener la mejor oportunidad de que no me detecten ", dice Malwarebytes & # 39; Reed." Realmente no entiendo el punto de este ransomware muy ruidoso. Cuando lo instalé para probar, la computadora me gritaba cada 30 segundos y emitía un pitido todo el tiempo. Es muy ruidoso tanto literal como digitalmente. "

Ocultar

El malware contiene algunas características de ofuscación que lo ayudan a esconderse mejor. El malware no se ejecuta cuando se detectan ciertas herramientas de seguridad, como Norton Antivirus. También es bajo cuando se abre en un entorno digital , que a menudo se usa para pruebas de seguridad, como en una caja de arena o máquina virtual, y al analizar el código en sí, los investigadores dicen que algunos de los componentes se han ocultado cuidadosamente, lo que dificulta la comprensión de lo que están haciendo. Por extraño que parezca, otros quedaron abiertos para todos.

Wardle sospecha que el malware pudo haber sido diseñado para ejecutar silenciosamente su módulo de spyware primero, recopilar datos valiosos y ser el último en iniciar el ruidoso ransomware. No intente ganar dinero con uno Reúna a las víctimas antes de continuar. Las pruebas han encontrado que algunos investigadores son más difíciles que otros para lograr que el malware lo haga Para cifrar archivos como parte de su funcionalidad de ransomware, que puede ser compatible con la teoría de Wardle. Pero el malware tiene errores, y actualmente no está claro cuál es la verdadera intención de los desarrolladores.

Dado que el malware se está propagando a través de torrentes, parece centrarse en el robo de dinero y todavía tiene algunos problemas, los investigadores dicen que este fue probablemente el caso de piratas informáticos criminales en lugar de espías nacionales, quiero hacer espionaje En el área de malware de Windows, no es raro usar ransomware como distracción o indicador falso. El malware NotPetya que causó el ciberataque más efectivo y costoso de la historia finalmente fingió ser ransomware. Dada la rareza del ransomware Mac, es sorprendente que ThiefQuest esté tomando un enfoque tan nublado.

El malware puede usar el cifrado de archivos de bandera del ransomware como una herramienta destructiva para prohibir permanentemente a los usuarios de sus computadoras. O tal vez ThiefQuest solo está tratando de obtener la mayor cantidad de dinero posible de las víctimas. La verdadera pregunta con Mac Ransomware, como siempre, es qué sigue.

Esta historia apareció por primera vez en wired.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *